OpenClaw 安全檢查清單

808AI 五金行

背景：發生了什麼事？

2026 年 3 月 18 至 21 日，安全研究員在短短 4 天內揭露了 9 個 OpenClaw CVE 漏洞。隨後 3 月 31 日又爆出 Axios 供應鏈攻擊。以下是完整清單。

🦞 9 個 CVE 漏洞

CVE 編號	CVSS	說明	修復版本
CVE-2026-22172	9.9	WebSocket 連線可自我宣告 admin 權限	2026.3.12
CVE-2026-32051	8.8	operator.write 權限提升到 owner	2026.3.1
CVE-2026-22171	8.2	飛書 media 下載路徑穿越	2026.2.19
CVE-2026-32025 「ClawJacked」	7.5	瀏覽器可暴力破解本地 gateway	2026.2.25
CVE-2026-32048	7.5	sandbox 逃逸，子程序不繼承限制	2026.3.1
CVE-2026-32049	7.5	超大 media payload DoS	2026.2.22
CVE-2026-32032	7.0	不信任的 SHELL 環境變數	2026.2.22
CVE-2026-29607	6.4	allow-always 包裝繞過	2026.2.22
CVE-2026-28460	5.9	allowlist 用 shell 換行符繞過	2026.2.22

⚡ Axios 供應鏈攻擊（2026 年 3 月 31 日）

Axios 1.14.1 和 0.30.4 被植入後門
安裝 plain-crypto-js 惡意套件
安裝遠程訪問木馬（RAT）
OpenClaw 使用 Axios，可能受影響

檢查清單（7 項）

逐項檢查，打勾追蹤進度。勾選狀態會自動記住（存在瀏覽器裡）。

✓

①

版本確認（最重要！）

版本 ≥ 2026.3.12 就能堵掉全部 9 個漏洞。

openclaw --version

≥ 2026.3.12

< 2026.3.12

執行 npm update -g openclaw

✓

②

Gateway 不要對外開放

CVE-2026-32025 可透過瀏覽器暴力破解開放的 gateway。

// 看 openclaw.json 的 gateway.bind
{
  "gateway": {
    "bind": "loopback"  // ← 確認這裡
  }
}

"loopback" 或 "127.0.0.1"

"0.0.0.0" 或沒設定

設定 "bind": "loopback"，遠端用 Tailscale 或 SSH tunnel

✓

③

認證模式用 token 不用 password

password 模式容易被暴力破解。

// 看 gateway.auth.mode
{
  "gateway": {
    "auth": {
      "mode": "token"  // ← 確認這裡
    }
  }
}

"token"

"password"

改成 "mode": "token"

✓

④

Telegram 鎖定發言人

防止陌生人觸發你的 Agent。

// 看 channels.telegram 設定
{
  "channels": {
    "telegram": {
      "dmPolicy": "allowlist",
      "allowFrom": ["你的 Telegram ID"]
    }
  }
}

dmPolicy: "allowlist" + 設定 allowFrom

dmPolicy: "open" 或群組沒設 allowFrom

加上 allowFrom 限制，只允許自己的 ID

✓

⑤

執行權限用白名單

CVE-2026-28460 和 CVE-2026-29607 可繞過命令審批。

// 看 tools.exec.security
{
  "tools": {
    "exec": {
      "security": "allowlist"  // ← 確認這裡
    }
  }
}

"allowlist"

"full"

設定 "security": "allowlist"

✓

⑥

檔案操作限制在 workspace

防止 Agent 讀寫系統重要檔案。

// 看 tools.fs.workspaceOnly
{
  "tools": {
    "fs": {
      "workspaceOnly": true  // ← 確認這裡
    }
  }
}

true

false 或沒設定

設定 "workspaceOnly": true

✓

⑦

Axios 供應鏈攻擊檢查

惡意 Axios 版本會安裝 RAT 木馬。

# 檢查 axios 版本
npm list axios | grep -E "1.14.1|0.30.4"

# 檢查惡意套件
ls node_modules/plain-crypto-js

# 檢查 RAT（macOS）
ls /Library/Caches/com.apple.act.mond

# 檢查 RAT（Linux）
ls /tmp/ld.py

全部找不到（No such file）

找到任何一項

若有找到，請立刻執行「04 — 異常處理」的步驟

安全設定懶人總結

一張表看完所有重點。綠色 = 安全，紅色 = 危險。

設定	✅ 安全值	❌ 危險值
版本	≥ 2026.3.12	< 2026.3.12
gateway.bind	loopback	0.0.0.0
gateway.auth.mode	token	password
telegram.dmPolicy	allowlist	open
tools.exec.security	allowlist	full
tools.fs.workspaceOnly	true	false
axios 版本	≠ 1.14.1, 0.30.4	1.14.1 或 0.30.4

如果發現異常怎麼辦？

不要慌，照著以下步驟依序處理。

🚨 緊急處理步驟

立刻輪換所有 API Key（Anthropic、OpenAI、Google 等）
更換 Telegram Bot Token（去 @BotFather 重新產生）
更換 Gateway auth token
更新 OpenClaw 到最新版：npm update -g openclaw
考慮重裝環境（最保險的做法）
檢查是否有異常的 cron job 或背景程序

⚠️

特別注意

如果你發現有 Axios 惡意版本的痕跡（RAT 檔案存在），代表你的機器可能已被完全入侵。除了以上步驟，還要檢查所有存放在本機的密鑰、密碼和 token 是否已外洩。

龍蝦資安健檢清單 🛡️